通过openssl验证ssl证书匹配性

最新推荐文章于 2024-06-22 02:11:39 发布
最新推荐文章于 2024-06-22 02:11:39 发布
阅读量1.7w 收藏 13
点赞数 1
分类专栏: https 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huakai_sun/article/details/81812169
版权

背景:SSL证书是private key + public key一起工作才能完成加密过程的。

大致来说就是client在handshake过程中先拿public key加密发送随机session encryption key set以及其它关键信息,通过public key密码的报文只能通过server端安装的SSL certificate key pair中的private key才能进行解密。

如果private key与public key不匹配,那么首先是server端在安装的时候就会提示密钥对不匹配并拒绝安装;其次,即便server允许安装不正确的证书对,那么在实际运行中,因为server无法解密client发送的加密报文,也会造成SSL handshake过程失败,进而导致session无法继续。

 

But, 证书购买过程会涉及到域名验证等等操作,可能在有的公司里面不会将此操作交由工程师完成,故作为运维人员的们即便明白SSL如何工作与申请、部署等等,也有可能等领导购买并生成SSL证书对。

 

那么拿到证书对的时候,应该如何验证private key与public key是不是一对的呢?

可以通过openssl工具public key信息提取然后进行精准的对比,命令如下

 

1). 针对private key(以rsa为例)

openssl rsa -pubout -in cert.key

2). 针对public key

openssl x509 -pubkey -noout -in cert.crt

 

然后对比两次输出,如果是正常的话,那么-----BEGIN PUBLIC KEY-----与-----END PUBLIC KEY-----之间的内容应该是完全一致的。

 

再借助diff工具,那么不必自己斗鸡眼对看长长的信息了

diff -eq <(openssl x509 -pubkey -noout -in cert.crt) <(openssl rsa -pubout -in cert.key)

如果是正常的话,上面的输出应该是与下面类似

writing RSA key

这表明,除了writing RSA key这部分内容以外均相同

 

openssl x509部分命令
打印出证书的内容:
openssl x509 -in cert.pem -noout -text
打印出证书的系列号
openssl x509 -in cert.pem -noout -serial
打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject
以RFC2253规定的格式打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
在支持UTF8的终端一行过打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject -nameopt oneline -nameopt -escmsb
打印出证书的MD5特征参数
openssl x509 -in cert.pem -noout -fingerprint
打印出证书的SHA特征参数
openssl x509 -sha1 -in cert.pem -noout -fingerprint
把PEM格式的证书转化成DER格式
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
把一个证书转化成CSR
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
给一个CSR进行处理,颁发字签名证书,增加CA扩展项
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca -signkey key.pem -out cacert.pem
给一个CSR签名,增加用户证书扩展项
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial

 

 

山隐的博客
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux: 使用OpenSSL检测和处理PEM证书
十年运维开发经验的王义杰在此分享自己的知识和经验
05-17 544
通过本文的方法和脚本,您可以在Linux系统中高效地检测PEM证书是否为自签名证书,并查询其过期时间。这些技术和自动化脚本将大大简化证书管理任务,提高工作效率。使用OpenSSL结合其他命令,可以轻松实现证书信息的处理和查询,满足日常运维和开发的需求。
使用OpenSSL模拟SSL证书验证过程
CubieLee的博客
07-04 5421
准备 一 准备好需要验证的两个证书,这里使用DigiCert与GeoTrust RSA CA 2018。 前者是根证书,后者是中间证书。 可以使用Windows徽标键+R运行certmgr.msc查看存储在电脑内的证书,然后右键使用Base64格式导出。 二 安装OpenSSL(自行百度) 提取公钥、签名与被签名的数据 命令行openssl提取根证书公钥: openssl x509 -in root.cer -pubkey -noout > root_pub.key 从中间证书提取签名: 首
客户端如何验证服务器SSL证书的有效
最新发布
qq_62311779的博客
06-22 948
客户端需要验证服务器证书中的域名与访问的服务器域名匹配。这可以通过检查证书的 Common Name (CN) 和 Subject Alternative Name (SAN) 字段来完成。证书链通常由服务器证书、中间证书和根证书组成。客户端需要验证从服务器证书到受信任的根证书之间的所有中间证书。每个证书都必须正确地链接到下一个证书,直到到达根证书。CRL 是由 CA 发布的包含所有已吊销证书的列表。OCSP 提供了一种实时检查证书吊销状态的方法。客户端向 OCSP 服务器发送请求,查询证书的吊销状态。
openssl3.2 - 检查rsa证书和私钥是否匹配(快速手搓一个工具)
谢绝留言与私信
01-23 1151
在学习openssl官方的/test/certs的脚本实现, 做到第30个脚本实验时, 发现根CA证书和key不匹配.估计做实验时, 遇到脚本需要的文件, 就随便拷贝一个同名的文件过来, 导致证书和key不是一个脚本产生的, 所以不匹配就想从前面的实验中, 找出匹配证书和key来做实验, 肯定有啊.这事应该openssl编程就能做到. 不过时间紧, 先不用openssl编程来做.看有没有简单暴力的方法.在网上找到如下2个openssl命令, 可以输出证书和key的模块信息.
openssl验证证书和私钥是否有效
热门推荐
wqs1106的博客
05-12 1万+
1.openssl s_server -msg -verify -tls1_2 -state -cert cert.cer -key ..\privkey -accept 18444 使用上面的命令开启一个ssl测试服务器 2.openssl s_client -msg -verify -tls1_2  -state -showcerts -cert cert.cer -key ..\priv
验证密钥与证书是否匹配
SHK242673的专栏
06-02 3211
验证密钥与证书是否匹配
openssl验证书是否一致
Mr_WoLong
02-07 638
openssl验证书是否一致
openssl ssl 加密 证书
11-27
SSL 连接中,服务器会向客户端发送其证书,客户端验证证书的有效后,双方使用公钥/私钥交换会话密钥。客户端可能也需要提供证书,这在某些需要双向认证的场景中常见。 ### 3. OpenSSL 证书生成 在 Windows 32...
使用openssl 生成免费证书的方法步骤
09-14
数字证书的存在确保了服务器的身份,客户端可以通过验证证书上的CA签名来确认服务器的真实,防止中间人攻击。 在**SSL/TLS**协议中,当客户端(如浏览器)访问服务器时,服务器会发送其数字证书给客户端。客户端...
openssl证书文件
11-24
5. **客户端验证**:客户端在建立SSL连接时,会检查服务器提供的证书是否由可信的CA签发,以及证书中的域名是否与它正在尝试连接的服务器匹配。在Win32平台下,你可能需要配置客户端信任的CA根证书或者导入服务器的...
导入ssl证书执行脚本
01-24
SSL证书(Secure Socket Layer Certificate)是互联网上用于验证网站身份和加密数据传输的安全证书。它通过数字签名确保了服务器身份的合法以及数据在传输过程中的完整。导入SSL证书至操作系统,无论是Windows...
ssl证书配置指南.rar
09-30
SSL(Secure Sockets Layer)证书是一种数字证书,用于建立安全的HTTPS连接,它通过使用公钥和私钥加密技术,为网站提供身份验证和数据传输加密。SSL证书包含发证机构(CA)、域名、组织信息等,以证明网站的真实...
【201】openssl生成服务端和客户端证书详解
小麦粒的Python
02-26 5585
内容目录(原文见公众号python宝)一、基本知识点介绍二、openssl生成服务端和客户端证书www.xmmup.com一、基本知识点介绍  要支持https请求,那就需要一个SSL证书...
openssl验证
m0_46665077的博客
04-22 4691
openssl验证书到期时间 openssl验证书文件(crt/cer文件)与密钥文件(key文件)是否匹配
使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA,证书链,中间证书验证
weixin_43398250的博客
03-14 1616
使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA,证书链,中间证书验证 openssl rsa ecdsa public key private key chain signature
openssl校验SSL证书public key是否配对
weixin_33920401的博客
09-07 1750
今天遇到一个很少遇到的关于SSL证书申请、安装问题,简要记录下来。背景:SSL证书是private key + public key一起工作才能完成加密过程的。大致来说就是client在handshake过程中先拿public key加密发送随机session encryption key set以及其它关键信息,通过public key密码的报文只能通过server端安装的...
linux openssl 证书,Linux上的openSSL证书验证
weixin_30633869的博客
05-15 424
JKJS得到了我自己的问题的答案:1)通过以下命令创建根CA证书openssl req -newkey rsa:1024 -sha1 -keyout rootkey.pem -out rootreq.pemopenssl x509 -req -in rootreq.pem -sha1 -signkey rootkey.pem -out rootcert.pem2)通过以下命令将CA证书安装为可信...
Openssl验证证书的有效
Jinhill's Blog
02-27 1万+
好久没写博客了,直接上代码#include #include #include #include #include int LoadCert(unsigned char * szFilePath, unsigned char *pbCert, int size) { int len = 0; if(szFilePath == NULL || pbCert == NULL || siz
nginx服务器SSL证书更新
09-24
### 回答1: Nginx服务器的SSL证书更新一般需要使用相应的工具来完成,如Let’s Encrypt或其他类似的SSL认证机构。更新SSL证书需要按照提供的官方文档进行操作,具体步骤如下:1. 使用新的SSL证书签名请求;2. 将新的SSL证书安装到Nginx服务器上;3. 重新启动Nginx服务器以使新的SSL证书生效。 ### 回答2: 当Nginx服务器的SSL证书过期或需要更新时,我们需要按照以下步骤进行操作: 1.生成SSL证书请求(CSR):可以使用OpenSSL工具生成CSR文件,包含了服务器信息和公钥。在命令行中运行以下命令生成CSR文件: openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr 2.购买SSL证书:向受信任的证书颁发机构(CA)购买SSL证书,通常需要提供CSR文件和一些其他的身份验证信息。 3.接收和安装SSL证书:收到证书颁发机构的SSL证书文件后,可以将其保存为server.crt文件,并将其与私钥(server.key)文件一起放在指定的目录中。 4.配置Nginx服务器:打开Nginx的配置文件(通常是nginx.conf),找到相关的服务器块,并在其中添加以下指令,以设置SSL证书的路径: ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; 5.重新启动Nginx服务器:在完成配置后,重新启动Nginx服务器,以使更改生效。在命令行中运行以下命令: sudo systemctl restart nginx 6.验证SSL证书:可以使用在线工具或命令行工具,如OpenSSL验证SSL证书是否已正确安装和配置。确保证书链完整,并且证书与私钥匹配。 通过上述步骤,我们可以成功更新Nginx服务器的SSL证书,从而保证加密通信的安全,并获得用户对网站的信任。 ### 回答3: Nginx是一款高能的Web服务器软件,使用SSL证书可以为网站提供安全的 HTTPS 访问方式。当SSL证书过期或需要更新时,可以按照以下步骤进行操作: 1. 获得新的SSL证书:联系证书颁发机构或者使用自签名证书工具来生成新的SSL证书。确保证书的私钥和公钥都被获得。 2. 备份旧SSL证书:在更新SSL证书之前,一定要备份当前正在使用的SSL证书,以防止发生意外情况。可以将旧证书复制到一个安全的位置,并对其进行适当的命名,以便将来可以轻松找到。 3. 上传新的SSL证书:将新的SSL证书和私钥上传到服务器上。确保证书和私钥的位置与Nginx的配置文件中的路径相匹配。 4. 更新Nginx配置文件:打开Nginx的配置文件(通常在/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf等文件中),找到旧SSL证书的路径,并将其替换为新证书的路径。确保配置文件中所使用的端口和域名与新证书的配置相匹配。 5. 重启Nginx服务器:执行命令以重启Nginx服务器,使其加载新的SSL证书并开始使用新证书提供安全的HTTPS访问。可以使用命令sudo systemctl restart nginx来重启服务器。 6. 检查SSL证书状态:使用浏览器访问网站,并确保正确显示新的SSL证书信息。可以使用在线SSL证书验证工具来验证证书的有效和安全。 总结:更新Nginx服务器的SSL证书可以通过备份旧证书、上传新证书、更新配置文件和重启服务器等步骤完成。在操作之前,确保获得有效的新证书,并检查证书的有效和安全,以确保网站的HTTPS访问正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

山隐的博客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值